红帽全球峰会第 2 章 为管理界面和应用程序启用双向 SSL/TLS
SSL/TLS 或传输层安全(TLS)是基于证书的安全协议,用于保护通过网络通信的两个实体之间的数据传输。如果您希望服务器只与可信客户端连接时,请使用双向 SSL/TLS。
双向 SSL/TLS 提供以下安全功能:
- 身份验证
- 在单向 SSL/TLS 中,服务器向客户端提供证书以验证其自身。在双向 SSL/TLS 中,客户端还向服务器提供证书来验证客户端。因此,双向 SSL/TLS 也称为 mutual 身份验证。
- 保密性
- 在客户端和服务器间传输的数据会被加密。
- 数据完整性
-
TLS 协议提供具有安全哈希功能的数据完整性,用于消息身份验证代码(MAC)计算。您可以使用 SSL 上下文资源的 cipher-suite-
filter 和属性为连接强制实施特定的算法和哈希功能。cipher-suite-names
如需更多信息,请参阅 server-ssl-context 属性。
您可以使用双向 SSL/TLS 保护 JBoss EAP 管理接口和部署的应用程序。
要使用双向 SSL/TLS 保护管理接口,请使用以下流程:
- 从客户端的证书颁发机构(CA)获取证书。另外,对于非生产环境,您可以按照以下步骤生成自签名证书: 生成客户端证书。
- 为客户端证书配置信任存储和信任管理器
- 为双向 SSL/TLS 配置服务器证书。
- 配置 SSL 上下文以使用 SSL/TLS 保护 JBoss EAP 管理接口
要使用双向 SSL/TLS 保护在 JBoss EAP 上部署的应用程序,请使用以下流程:
- 从客户端的证书颁发机构(CA)获取证书。另外,对于非生产环境,您可以按照以下步骤生成自签名证书: 生成客户端证书。
- 为客户端证书配置信任存储和信任管理器
- 为双向 SSL/TLS 配置服务器证书
- 配置 SSL 上下文,以使用 SSL/TLS 保护在 JBoss EAP 上部署的应用程序
您可以按照在 Elytron 中配置证书撤销检查中的步骤来配置证书撤销检查。
2.1. 生成客户端证书
复制链接链接已复制到粘贴板!
在 CLI 中使用 keytool 命令生成自签名客户端证书,以测试和开发双向 SSL/TLS 配置。
重要
不要在生产环境中使用自签名证书。仅使用证书颁发机构(CA)签名的证书。
流程
生成客户端证书。
语法
keytool -genkeypair -alias <keystore_alias> -keyalg <algorithm> -keysize <key_size> -validity <validity_in_days> -keystore <keystore_name> -dname "<distinguished_name>" -keypass <private_key_password> -storepass <keystore_password>
$ keytool -genkeypair -alias <keystore_alias> -keyalg <algorithm> -keysize <key_size> -validity <validity_in_days> -keystore <keystore_name> -dname "<distinguished_name>" -keypass <private_key_password> -storepass <keystore_password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Example
keytool -genkeypair -alias exampleClientKeyStore -keyalg RSA -keysize 2048 -validity 365 -keystore exampleclient.keystore.pkcs12 -dname "CN=client" -keypass secret -storepass secret
$ keytool -genkeypair -alias exampleClientKeyStore -keyalg RSA -keysize 2048 -validity 365 -keystore exampleclient.keystore.pkcs12 -dname "CN=client" -keypass secret -storepass secretCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将客户端证书导出到文件。
语法
keytool -exportcert -keystore <keystore_name> -alias <keystore_alias> -keypass <private_key_password> -storepass <keystore_password> -file <file_path>
$ keytool -exportcert -keystore <keystore_name> -alias <keystore_alias> -keypass <private_key_password> -storepass <keystore_password> -file <file_path>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Example
keytool -exportcert -keystore exampleclient.keystore.pkcs12 -alias exampleClientKeyStore -keypass secret -storepass secret -file EAP_HOME/standalone/configuration/client.cer Certificate stored in file <EAP_HOME/standalone/configuration/client.cer>
$ keytool -exportcert -keystore exampleclient.keystore.pkcs12 -alias exampleClientKeyStore -keypass secret -storepass secret -file EAP_HOME/standalone/configuration/client.cer Certificate stored in file <EAP_HOME/standalone/configuration/client.cer>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
现在,您可以使用生成的客户端证书在服务器中配置服务器信任存储和信任管理器。如需更多信息,请参阅为客户端证书配置信任存储和信任管理器。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}